TrabalhosGratuitos.com - Trabalhos, Monografias, Artigos, Exames, Resumos de livros, Dissertações
Pesquisar

Forense Computacional

Ensaios: Forense Computacional. Pesquise 862.000+ trabalhos acadêmicos

Por:   •  29/9/2014  •  5.827 Palavras (24 Páginas)  •  518 Visualizações

Página 1 de 24

FORENSE COMPUTACIONAL

________________________________________

in VIVO

Antes de iniciar uma análise, o perito deverá avaliar qual procedimento utilizar para a coleta dos dados. A escolha deverá levar em conta o cenário e as circunstâncias em que se encontram o sistema a ser analisado.

Alguns questionamentos devem ser feitos, como por exemplo:

 O que deverá ser coletado?

 O que coletar primeiro?

 Vale a pena coletar tudo?

 Será que não serão colocadas em risco todas as outras evidências só porque se pretende coletar algumas evidências em tempo de execução?

A forense in vivo consiste num conjunto de procedimentos que são utilizados para a coleta de dados sem que o sistema seja desligado. Nesta é priorizada a coleta dos dados mais voláteis para os menos voláteis, pois em sua maioria, os dados mais voláteis serão perdidos caso o sistema venha a ser deligado; diferente da post mortem forense, que consiste numa coleta de dados após o desligamento do sistema

Memória de periféricos

Alguns periféricos, como por exemplo impressora e vídeo, possuem as suas próprias memórias. Nelas podem existir informações que talvez não existam mais no sistema suspeito, ou seja, cabe ao perito tentar capturá-las . No caso da memória do vídeo por exemplo, numa situação em que o suspeito utilizou o terminal gráfico, este dado é de suma importância, pois o que aparece na tela poderá ser capturado utilizando o aplicativo “xwd” .

xwd -display 127.0.0.1:0.0 -root > mem_video.xwd

Este arquivo de saída contém a tela capturada e poderá ser visualizado utilizando o aplicativo zwud seguido do parâmetro in e o nome do arquivo. Outro aplicativo que lê este arquivo é o GIMP.

Memória Principal do Sistema

A memória principal contém todo tipo de informação volátil, como informações de processos,dados manipulados, dados ainda não salvos no disco e informações do SO.

Enviando informações da memória do servidor

dd if=/dev/mem | nc <ip> <porta>

dd if=/dev/kmem | nc <ip> <porta>

dd if=/dev/rswap | nc <ip> <porta>

dd if=/proc/kcore | nc <ip> <porta>

Recebendo sobre as conexões ativas

nc -l -p <porta> | tee mem.dd | md5sum $1 > mem.dd.md5

nc -l -p <porta> | tee kmem.dd | md5sum $1 > kmem.dd.md5

nc -l -p <porta> | tee rswap.dd | md5sum $1 > rswap.dd.md5

nc -l -p <porta> | tee kcore.dd | md5sum $1 > kcore.dd.md5

Tráfego de rede

A partir dos diagramas capturados, é possível reconstruir a comunicação entre o atacante e a máquina alvo, de modo que uma sequência de eventos possa ser estabelecida e comparada com outras evidência.

As evidências mais comuns que podem ser encontradas na análise de tráfego de rede são:

 Endereço de IP inválido ou suspeito

 Portas Suspeitas

 Porta-destino que não poderia aceitar datagramas

 Trafego não condizente com o padrão do protocolo e datagramas

 Trafego TCP sem estabelecimento de conexão, sem flags ou numero de sequências inválidos

 Tráfego intenso de datagramas incomuns à rede que deveriam estar desabilitados (ICMP)

 Área de dados dos datagramas contendo comandos Linux

 Requisições HTTP suspeitas.

Coleta de atividades de redes de conexões TCP Enviando informações sobre conexões de redes ativas

netstat -nap | tee conexoes.tcp | nc <ip> <porta>

Recebendo conexões ativas

nc -l -p <porta> | tee conexoes.tcp | md5sum $1 > conexoes.tcp.md5

Enviando separadamente conexões TCP

netstat -natp | tee conexoes.tcp | nc <ip> <porta>

Recebendo conexões ativas

nc -l -p <porta> | tee conexoes.tcp | md5sum $1 > conexoes.tcp.md5

Coleta de atividades de redes de conexões UDP

Enviando informações sobre conexões de redes ativas

netstat -naup | tee conexoes.tcp | nc <ip> <porta>

Recebendo conexões ativas

nc -l -p <porta> | tee conexoes.udp | md5sum $1 > conexoes.udp.md5

Coleta de atividades de redes de conexões Rawsockets Embora não seja muito comum que aplicativos de redes usem esse tipo de comunicação, o perito deve coletar atividades de aplicações que utilizam Raw Socket, que é comum em vários tipos de Mawares. Atividades de conexões RAW

netstat -nawp | tee conexoes.raw | nc <ip> <porta> <code>

**Recebendo informações de Conexões RAW**

<code> nc -l -p <porta> | tee conexoes.raw | md5sum $1 > conexoes.raw.md5

Coleta de atividades de Rotas

Atividades de rotas estáticas

route -n | tee -a info_rotas | nc <ip> <porta>

Recebendo informações de Rotas estáticas

nc -l -p <porta> | tee info_rotas | md5sum $1 > info_rotas.md5

Rotas do PROC

cat /proc/net/route | tee -a info_proc_rotas | nc <ip> <porta>

nc -l -p <ip> <porta> | tee info_proc_rotas | md5sum

...

Baixar como (para membros premium)  txt (32.1 Kb)  
Continuar por mais 23 páginas »
Disponível apenas no TrabalhosGratuitos.com